El marco de auditoría básico para las funciones bioinformáticas

Anuncio
Especial: Auditoría Informática
El marco de auditoría básico
para las funciones
bioinformáticas
Autor:
Coltell, Óscar
RESUMEN
Hasta el momento, la Auditoría de Sistemas de
Información no ha entrado de lleno en el campo de la
experimentación científica porque apenas había relación con los sistemas de información complejos. La
Bioinformática ha establecido un uso tan intensivo de
la Informática que exige revisar la calidad, eficiencia y
seguridad de la información y los sistemas que la
manejan. Se introduce un marco conceptual de audi-
toría denominado COBIT (Control Objectives for
Information and related Technology), que establece
cuatro dominios para los sistemas de información.
Cada uno de los dominios se divide en procesos que
tienen unos objetivos de control generales. Y a cada
uno de estos le corresponde un conjunto de objetivos
detallados y guía de auditoría. Una adaptación del
COBIT para la Bioinformática daría lugar a la Auditoría
Bioinformática.
PALABRAS CLAVE
Bioinformática, Auditoría de Sistemas Bioinformáticos, BioAuditoría Informática, Tecnologías de la
Información, COBIT.
1. INTRODUCCIÓN
La Information Systems Audit and Control Association
(ISACA), es una asociación profesional de ámbito mundial
(más de 40.000 asociados individuales e institucionales)
para la regulación de la práctica de la Auditoría de
Sistemas de Información cuya sede esta en EE. UU.
(http://www.isaca.org). En algunos países la ISACA tiene
reconocimiento oficial como la institución reguladora del
ejercicio de sus auditores informáticos, con unas competencias similares a los organismos que controlan la actividad de auditoría de cuentas. En otros países, como
España, el reconocimiento es tácito ya que no existen normas legales específicas.
Como resultado de un proceso relativamente largo,
donde los miembros de la ISACA han ido aportando sus
ideas, sugerencias y experiencia, se publicó en 1997 la primera versión de un marco metodológico formal denominado COBIT (Control Objectives for Information and related Technology - Objetivos de Control para la Información
y Tecnologías Afines). COBIT, por tanto, está ampliamente
aceptado por la comunidad internacional de auditores de
sistemas de información como una norma estándar.
Por tanto, el objetivo de este trabajo es presentar el
marco de trabajo estándar de la Auditoría de Sistemas de
Información, denominado COBIT1, que se utiliza con bastante profusión para la elaboración de guías de auditoría
informática. Este es el enfoque formal de partida para
intentar encontrar instrumentos de auditoría sobre las funciones bioinformáticas. Así, se podrá entender el desarrollo empleado en los siguientes artículos donde se explica
una propuesta de marco metodológico adaptado para la
Auditoría Bioinformática, teniendo en cuenta los aspectos
científicos, tecnológicos y éticos de la disciplina.
2. BREVE INTRODUCCIÓN A COBIT
La Misión de COBIT es la siguiente: “Investigar, desarrollar,
publicar y promover un conjunto de objetivos de controlen
tecnología de información con autoridad, actualizados, de
carácter internacional y aceptados generalmente para el
uso cotidiano de gerentes de empresas y auditores”1.
COBIT está diseñado como un estándar aplicable y
aceptable en general para la buena práctica de la auditoría de las tecnologías de la Información en todo el
mundo. El producto COBIT utiliza los Objetivos de Control
de ISACA, mejorados con estándares específicos de tipo
técnico, profesional, normativo e industrial existentes y
emergentes. Los objetivos de control se han desarrollado
para su aplicación en el amplio espectro de sistemas de
información en la empresa. Estos objetivos de control tienen en cuenta lo siguiente:
• Adecuación a los estándares y normativas legislativos
y de hecho existentes que se aplican en el marco glo-
25
Especial: Auditoría Informática
bal, así como en los objetivos de control individuales.
• Revisión crítica de las diferentes actividades y tareas
bajo los dominios de control y posibilitando la especificación de indicadores de prestaciones importantes
(normas, reglas, etc.)
• Establecimiento de unas directrices y fundamentos
para proporcionar investigación consistente sobre los
temas de auditoría y control de Tecnologías de
Información (TI).
COBIT se ha diseñado como sistema metodológico que
26
consiste en un conjunto de objetivos de control de TI de
alto nivel y una estructura global para su clasificación y
funcionamiento (Figura 1).
3. ESTRUCTURA Y OBJETIVOS DE CONTROL
La teoría subyacente para la clasificación elegida, en
línea con las experiencias de Re-Ingeniería, es que hay, en
esencia, tres niveles de esfuerzos en TI cuando se considera la gestión de los recursos de TI:
Figura 1. Recursos de TI, Objetivos de Negocio y Dominios de COBIT
“Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation.
Reprinted with the permission of the Information Systems Audit and Control Foundation
and IT Governance Institute.”
Especial: Auditoría Informática
• Actividades: Las actividades, junto con las tareas están
en el nivel inferior. Las actividades tienen el concepto
de ciclo de vida mientras que las tareas se consideran
discretas en el tiempo.
• Procesos: Se definen en un nivel superior como series
de actividades unidas con puntos de control naturales.
• Dominios: Correspondientes al nivel superior, son agrupaciones de procesos. COBIT distingue cuatro dominios en línea con el ciclo de gestión o el ciclo de vida
aplicables a los procesos de TI (Tabla 1).
El marco conceptual se enfoca desde tres puntos de
vista distintos: criterios de gestión para la información,
recursos de TI y procesos de TI. Estos tres puntos de vista se
ensamblan en un formato cúbico y permiten que se
obtengan referencias cruzadas en dicho marco y se pueda
acceder a él eficientemente (Figura 2).
Los objetivos de control de TI están organizados inicialmente por proceso / actividad, pero las ayudas para la
navegación que se aportan, facilitan la entrada desde
cualquier punto estratégico. También facilitan la adopción
de enfoques combinados o globales, tal como la instalación / implementación de un proceso, responsabilidades
de gestión global para un proceso, y el uso de los recursos
de TI por un proceso (Figura 3).
La información que los procesos de gestión necesitan
está proporcionada por el uso de los recursos de TI. Para
asegurar que los requisitos de gestión para la información
se aplican, se tiene que definir medidas de control adecuadas, se tiene que implementarlas y monitorizarlas
sobre estos recursos. Está claro que no todas las medidas
de control satisfarán los requisitos de gestión en el mismo
grado, así que se hace una distinción en COBIT contemplando el cumplimiento (Figura 4):
• Primario (P): grado en que el objetivo de control satisface completamente el requisito de información
correspondiente.
• Secundario (S): grado en que el objetivo de control
satisface solamente en menor extensión o indirectamente el requisito de información correspondiente.
Tabla 1. Dominios de COBIT
PLANIFICACIÓN Y ORGANIZACIÓN:
DISTRIBUCIÓN Y SOPORTE:
Conduce la estrategia y las tácticas y corresponde a la
identificación de la forma en que la información tecnológica puede contribuir mejor a alcanzar los objetivos de
gestión.
Corresponde con la distribución normal de los servicios requeridos, que van desde las tradicionales operaciones sobre seguridad y continuidad hasta la formación.
ADQUISICIÓN E IMPLEMENTACIÓN:
MONITORIZACIÓN:
Para llevar a cabo la estrategia es necesario identificar,
desarrollar y adquirir soluciones de TI apropiadas, así como
implementarlas e integrarlas en los procesos de gestión.
Todos los procesos de TI deben evaluarse regularmente
en el tiempo para comprobar su calidad.
Figura 2. El cubo de COBIT
“Copyright 1996, 1998, 2000 Information Systems Audit and Control
Foundation.
Reprinted with the permission of the Information Systems Audit and Control
Foundation and IT Governance Institute.”
Figura 3. Objetivos de control de COBIT definidos genéricamente
“Copyright 1996, 1998, 2000 Information Systems Audit and Control
Foundation.
Reprinted with the permission of the Information Systems Audit and Control
Foundation and IT Governance Institute.”
27
Especial: Auditoría Informática
Figura 4. Tabla resumen de COBIT
“Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation.
Reprinted with the permission of the Information Systems Audit and Control Foundation and IT Governance Institute.”
4. CONCLUSIONES
Se ha descrito el COBIT tal como está formulado en la
actualidad para la ASI, que no es adecuado para realizar
auditorías bioinformáticas. Por lo tanto, es necesario estudiar cómo se puede adaptar para poder obtener un
marco metodológico específico para la auditoría bioinformática.
BIBLIOGRAFÍA
1. ISACAF-E. COBIT. Audit Guidelines. 3rd ed. ISACA,
Rolling Meadows, IL (USA), 2000.
28
AGRADECIMIENTOS
Este trabajo ha sido financiado en parte por la red temática de investigación cooperativa en el área de Biomedicina, denominada G03/160 “INBIOMED. Plataforma de
almacenamiento, integración y análisis de datos clínicos,
genéticos, epidemiológicos e imágenes orientada a la
investigación sobre patologías”. Su coordinador es el Dr.
Fernando Martín, del Instituto de Salud Carlos III.
Además, las primeras versiones de este documento se
desarrollaron mientras el autor se encontraba disfrutando
de una beca de movilidad del profesorado financiada por
el Ministerio de Educación y Ciencia de España, con el
código PR2003-0063.
Descargar